Introduction
Vous pouvez utiliser le filtre de paquets Berkeley (BPF) pour empêcher un hôte ou un réseau d'être inspecté par un centre de défense. Snort utilise la variable Snort_BPF pour exclure le trafic d'une stratégie d'intrusion. Ce document fournit des instructions sur l'utilisation de la variable Snort_BPF dans différents scénarios.
Astuce : Il est fortement recommandé d'utiliser une règle d'approbation dans une stratégie de contrôle d'accès pour déterminer le trafic qui est et n'est pas inspecté, plutôt qu'un BPF dans la stratégie d'intrusion. La variable Snort_BPF est disponible sur la version 5.2 du logiciel et est déconseillée sur la version 5.3 ou ultérieure du logiciel.
Conditions préalables
Conditions requises
Cisco vous recommande d'avoir des connaissances sur les règles Defense Center, Intrusion Policy, Berkeley Packet Filter et Snort.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Centre de défense
- Logiciel version 5.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration Steps
Afin de configurer la variable
Snort_BPF, procédez comme suit :
- Accédez à l'interface utilisateur Web de votre Centre de défense.
- Accédez à Politiques > Intrusion > Intrusion Policy.
- Cliquez sur l'icône crayon pour modifier votre stratégie d'intrusion.
- Cliquez sur Variables dans le menu de gauche.
- Une fois les variables configurées, vous devez enregistrer les modifications et réappliquer votre stratégie d'intrusion pour qu'elle prenne effet.

Figure : Capture d'écran de la page de configuration des variables Snort_BPF
Exemples de configuration
Voici quelques exemples de base :
Scénario 1 : Ignorer tout le trafic, A et A d'un analyseur de vulnérabilité
- Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1
- Nous voulons ignorer tout le trafic à destination et en provenance du scanner
- Le trafic peut ou non avoir une balise 802.1q (vlan)
Le SNORT_BPF est :
not host 10.1.1.1 and not (vlan and host 10.1.1.1)
COMPARAISON : le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :
not host 10.1.1.1
En anglais simple, ceci ignorerait le trafic où l'un des points de terminaison est 10.1.1.1 (le scanneur).
Scénario 2 : Ignorer tout le trafic, TO et FROM deux scanners de vulnérabilité
- Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1
- Nous avons un deuxième analyseur de vulnérabilité à l'adresse IP 10.2.1.1
- Nous voulons ignorer tout le trafic à destination et en provenance du scanner
- Le trafic peut ou non avoir une balise 802.11 (vlan)
Le SNORT_BPF est :
not (host 10.1.1.1 or host 10.2.1.1) and not (vlan and (host 10.1.1.1 or host 10.2.1.1))
Comparaison : Le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :
not (host 10.1.1.1 or host 10.2.1.1)
En résumé, ceci ignorerait le trafic où l'un des points d'extrémité est 10.1.1.1 OU 10.2.1.1.
Note: Il est important de noter que la balise vlan doit, dans presque tous les cas, se produire une seule fois dans un BPF donné. La seule fois où vous devriez le voir plus d'une fois, est si votre réseau utilise l'étiquetage de VLAN imbriqué (parfois appelé 'QinQ').
Scénario 3 : Ignorer le trafic étiqueté VLAN, TO et FROM deux scanners de vulnérabilité
- Nous avons un analyseur de vulnérabilité à l'adresse IP 10.1.1.1
- Nous avons un deuxième analyseur de vulnérabilité à l'adresse IP 10.2.1.1
- Nous voulons ignorer tout le trafic à destination et en provenance du scanner
- Le trafic est étiqueté 802.11 (vlan) et vous souhaitez utiliser une balise (vlan) spécifique, comme dans le vlan 101
Le SNORT_BPF est :
not (host 10.1.1.1 or host 10.2.1.1) and not (vlan 101 and (10.1.1.1 or host 10.2.1.1))
Scénario 4 : Ignorer le trafic d'un serveur de sauvegarde
- Nous avons un serveur de sauvegarde réseau à l'adresse IP 10.1.1.1
- Les machines du réseau se connectent à ce serveur sur le port 8080 pour exécuter leur sauvegarde de nuit
- Nous souhaitons ignorer ce trafic de sauvegarde, car il est chiffré et volumineux
Le SNORT_BPF est :
not (dst host 10.1.1.1 and dst port 8080) and not (vlan and (dst host 10.1.1.1
and dst port 8080))
Comparaison : Le trafic *n’est pas* étiqueté VLAN, mais les points 1 et 2 restent vrais seraient les suivants :
not (dst host 10.1.1.1 and dst port 8080)
Traduit, cela signifie que le trafic vers 10.1.1.1 (notre serveur de sauvegarde hypothétique) sur le port 8080 (port d'écoute) ne doit pas être inspecté par le moteur de détection IPS.
Il est également possible d'utiliser net à la place de l'hôte pour spécifier un bloc réseau, plutôt qu'un seul hôte. Exemple :
not net 10.1.1.0/24
En règle générale, il est recommandé de rendre le cadre de programmation de pays le plus spécifique possible ; exclure le trafic de l'inspection qui doit être exclue, sans exclure tout trafic non lié qui pourrait contenir des tentatives d'exploitation.
Scénario 5 : Pour utiliser des plages de réseau plutôt que des hôtes individuels
Vous pouvez spécifier des plages réseau dans la variable BPF plutôt que des hôtes pour raccourcir la longueur de la variable. Pour ce faire, vous utiliserez le mot clé net à la place de host et spécifierez une plage CIDR. Voici un exemple :
not (dst net 10.8.0.0/16 and dst port 8080) and not (vlan and (dst net 10.8.0.0/16
and dst port 8080))
Note: Assurez-vous de saisir l'adresse réseau en utilisant la notation CIDR et une adresse utilisable dans l'espace d'adressage de bloc CIDR. Par exemple, utilisez net 10.8.0.0/16 plutôt que net 10.8.2.16/16.
Les SNORT_BPF est utilisée afin d'empêcher que certains trafics ne soient inspectés par un moteur de détection IPS ; souvent pour des raisons de rendement. Cette variable utilise le format standard Berkeley Pack Filters (BPF). Trafic correspondant au SNORT_BPF variable sera inspectée ; tandis que le trafic NE correspond PAS à SNORT_BPF ne sera PAS inspecté par le moteur de détection IPS.